اكتشاف محاولات اختراق المضيف باستخدام ELK

الدروس التعليمية
ElasticSearch Kibana

ما هو SIEM؟

تقف SIEM على معالجة المعلومات وإدارة الأحداث الأمنية. إنها حلول جاهزة من البرمجيات توفر تحليلًا فوريًا للتنبيهات الأمنية الناتجة عن الأجهزة الشبكية والتطبيقات. يجمع SIEM بيانات السجل من مصادر متعددة مثل الأجهزة الشبكية والخوادم والتطبيقات، ثم يربط ويحلل هذه البيانات لتحديد التهديدات الأمنية.

يمكن لـ SIEM مساعدة المؤسسات على تحسين موقفها الأمني من خلال توفير نظرة أنظمة مركزية للأحداث الأمنية عبر البنية التحتية لجميع التكنولوجيا. يتيح للمحللين الأمنيين التعرف بسرورية على الحوادث الأمنية والاستجابة لها، ويوفر تقارير مفصلة لأغراض الامتثال.

تشمل بعض الميزات الرئيسية لحلول SIEM:

  1. جمع وتحليل السجلات
  2. ربط الأحداث وتنبيهها في الوقت الفعلي
  3. تحليل سلوك المستخدم والكيان
  4. تكامل التحليلات الفكرية للتهديدات
  5. إعداد تقارير الامتثال

يستخدم SIEM غالبًا مع حلول أمن أخرى، مثل الجدران الحربية وأنظمة الكشف عن التسلل وبرامج مكافحة الفيروسات، لتوفير مراقبة أمان شاملة وقدرات استجابة للحوادث.

ما هو ELK؟

ELK هو اختصار لـ مجموعة من أدوات البرمجيات المفتوحة ال原始 لإدارة السجلات والتحليل: Elasticsearch، Logstash، و Kibana.

Elasticsearch هو محرك بحث وتحليل موزع يوفر بحث سريع وتخزين فعال لحجم كبير من البيانات. إنه مصمم ليكون قابلاً للتوسع ويمكنه التعامل مع عدد كبير من الاستعلامات وعمليات الفهرسة في الوقت الفعلي.

Logstash هو أداة جمع ومعالجة البيانات تسمح لك بجمع السجلات والبيانات من مصادر متعددة، مثل ملفات السجل، syslog، ومصادر بيانات أخرى، وتحويل وتعزيز البيانات قبل إرسالها إلى Elasticsearch.

Kibana هي واجهة تستخدم عبر الإنترنت تسمح لك بتصور وتحليل البيانات المخزنة في Elasticsearch. توفر مجموعة متنوعة من التصورات التفاعلية، مثل المنحدرات البسيطة، المخططات الشريطية، والخرائط الحرارية، بالإضافة إلى ميزات مثل اللوحات الرئيسية والتنبيهات.

معًا، تشكل هذه الأدوات الثلاثة منصة قوية لإدارة وتحليل السجلات وأنواع البيانات الأخرى، المعروفة عمومًا بـ كتلة ELK أو كتلة Elastic. تستخدم كتلة ELK على نطاق واسع في عمليات التشغيل التقني، مراقبة الأمان، وتحليل الأعمال للحصول على رؤى من كميات كبيرة من البيانات.

تهيئة بيانات SIEM لكتلة ELK

تهيئة بيانات SIEM في كتلة ELK يمكن أن يكون مفيدًا للمؤسسات التي ترغب في الجمع بين قدرات إدارة الأحداث الأمنية لـ SIEM مع ميزات إدارة السجلات والتحليل لـ ELK.

فيما يلي الخطوات العليا لتهيئة بيانات SIEM في كتلة ELK:

  1. قم بتكوين SIEM لإرسال بيانات السجل إلى Logstash، وهو جزء من كتلة ELK.
  2. قم بإعداد ملف تكوين Logstash يحدد المدخلات والتصفيات والمخرجات لبيانات SIEM.
  3. بدء تشغيل Logstash والتحقق من أنه يتلقى ويعالج بيانات SIEM بشكل صحيح.
  4. تكوين Elasticsearch لاستقبال وتخزين بيانات SIEM.
  5. إنشاء تصورات Kibana ولوحات معلومات لعرض بيانات SIEM.

فيما يلي مثال على ملف تكوين Logstash يستقبل رسائل Syslog من SIEM ويرسلها إلى Elasticsearch:

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

بمجرد تكوين وتشغيل Logstash، ستتم إدخال بيانات SIEM في Elasticsearch ويمكن تصورها وتحليلها في Kibana. من المهم التأكد من وجود الإجراءات الأمنية المناسبة لحماية بيئة SIEM و ELK، ومراقبة وتنبيه على أي أحداث أمنية.

اكتشاف محاولات اختراق المستخدم

اكتشاف محاولات اختراق المستخدم باستخدام SIEM في ELK يتضمن مراقبة وتحليل سجلات النظام والمرور الشبكي لتحديد النشاط الشبيه بالتهديد الذي قد يشير إلى محاولة اختراق. فيما يلي الخطوات العامة لإعداد اكتشاف محاولات اختراق المستخدم باستخدام SIEM في ELK:

  • تكوين المستخدمين لإرسال سجلات النظام والمرور الشبكي إلى نظام تجميع سجلات مركزي.
  • إعداد Logstash لاستقبال وتحليل بيانات سجلات النظام والمرور الشبكي من المستخدمين.
  • تكوين Elasticsearch لتخزين بيانات السجل المحللة.
  • استخدم Kibana لتحليل بيانات السجل وإنشاء لوحات معلومات وتنبيهات لتحديد محاولات اختراق محتملة.

فيما يلي بعض التقنيات المحددة التي يمكن استخدامها لاكتشاف محاولات اختراق المستخدم:

  • رصد محاولات تسجيل الدخول الفاشلة: ابحث عن محاولات تسجيل الدخول المتكررة والفاشلة من عنوان IP واحد، والتي قد تشير إلى هجوم قوة الغاء. استخدم Logstash لتحليل سجلات النظام لحدث تسجيل الدخول الفاشلة وإنشاء tableau Kibana أو تنبيه لرصد محاولات تسجيل الدخول الفاشلة الزائدة.
  • رصد المرور الشبكي الغامض: ابحث عن المرور الشبكي إلى أو من عناوين IP أو مجالات معروفة بأنها خبيثة. استخدم Logstash لتحليل بيانات المرور الشبكي وإنشاء tableau Kibana أو تنبيه لرصد أنماط المرور الشبكي الغامض.
  • رصد تغييرات النظام الأساسي: ابحث عن تغييرات غير مصرح بها للملفات الأساسية أو الإعدادات. استخدم Logstash لتحليل حدث تغيير النظام الأساسي وإنشاء tableau Kibana أو تنبيه لرصد التغييرات غير المصرح بها.
  • رصد نشاط العمليات الغامض: ابحث عن العمليات التي تعمل بأذونات مرتفعة أو التي تقوم بإجراءات غير اعتيادية. استخدم Logstash لتحليل حدث العمليات وإنشاء tableau Kibana أو تنبيه لرصد نشاط العمليات الغامض.

بتنفيذ هذه التقنيات ومراقبة باستمرار السجلات والمرور الشبكي، يمكن للمؤسسات تحسين قدرتها على الكشف والاستجابة لمحاولات القرصنة المتعلقة بالأجهزة باستخدام SIEM في ELK.

تكوين تنبيه في ELK للكشف عن محاولات قرصنة الأجهزة

لتكوين تنبيه في ELK للكشف عن محاولة قرصنة الجهاز، يمكنك اتباع هذه الخطوات العامة:

  • إنشاء عملية بحث في Kibana تقوم بتصفية السجلات لحدث محاولة قرصنة الأجهزة. على سبيل المثال، يمكنك استخدام البحث التالي للكشف عن محاولات تسجيل الدخول الفاشلة:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • بمجرد إنشاء عملية البحث الخاصة بك، احفظها كبحث محفوظ في Kibana.
  • اذهب إلى واجهة تنبيهات وإجراءات Kibana وأنشئ تنبيهًا جديدًا. اختر البحث المحفوظ الذي أنشأته في الخطوة 2 كأساس للتنبيه.
  • Graphical user interface, application Description automatically generated 
  • قم بتكوين التنبيه ليُنشط عندما يتجاوز عتبة معينة. على سبيل المثال، يمكنك تكوين التنبيه ليُنشط عند وجود أكثر من 5 محاولات تسجيل دخول فاشلة في نافذة 5 دقائق.
  • قم بتكوين التنبيه لإرسال إشعار، مثل رسالة بريد إلكتروني أو رسالة Slack، عندما يُنشط.
  • اختبر التنبيه للتأكد من أنه يعمل كما هو متوقع.

بمجرد تكوين التنبيه، سيُنشط تلقائيًا عندما يكتشف حدث محاولة اختراق المضيف، مثل محاولة تسجيل دخول فاشلة. يمكن لهذا مساعدة المنظمات على الكشف عن والاستجابة للتهديدات الأمنية بكفاءة وفعالية. من المهم مراجعة وتحديث التنبيهات بانتظام للتأكد من اكتشافها للأحداث الأمنية الأكثر أهمية وعلاقة.

الخاتمة

استخدام ELK للكشف عن محاولات اختراق المضيف هو استراتيجية فعالة لتعزيز موقف الأمان لمنظمة. يوفر ELK مزيجًا قويًا من جمع السجلات، وتحليلها، وتخزينها، وتحليلها، وإشعارها، مما يمكّن المنظمات من الكشف عن محاولات اختراق المضيف في الوقت الفعلي.

من خلال مراقبة سجلات النظام وحركة المرور الشبكي، واستخدام عمليات البحث المتقدمة وآليات الإشعار، يمكن لـ ELK مساعدة المنظمات على الكشف عن مجموعة واسعة من محاولات اختراق المضيف، بما في ذلك محاولات تسجيل دخول فاشلة، وحركة مرور شبكية غامضة، وتغييرات في نظام الملفات، ونشاط عملية غامض.

يتطلب تنفيذ استراتيجية تحقيق الكشف عن محاولات القرصنة القوية للمضيف باستخدام ELK تخطيطًا دقيقًا وتكوينًا واختبارًا. ومع ذلك، بالإمكان إنشاء نظام مراقبة الأمان شامل باستخدام الخبرة والأدوات المناسبة، مما يوفر للمنظمات رؤى فورية لشبكاتها، ويحسن أوقات الاستجابة للحوادث، ويساعد على منع الانتهاكات الأمنية قبل أن تحدث.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk